APT-Gruppen: Viele Router als Teil riesiger Botnetze 

APT-Gruppen: Viele Router als Teil riesiger Botnetze Bild MS-KI

Beitrag teilen

In einem Blogbeitrag analysiert Trend Micro wie Pawn Storm (auch APT28 oder Forest Blizzard) und andere APT-Akteure Router kompromittieren und diese dadurch zu einem Teil von Botnetzen werden.

Cyberkriminelle und Advanced Persistent Threat (APT)-Akteure haben ein gemeinsames Interesse an Proxy-Anonymisierungsschichten und Virtual Private Network (VPN)-Knoten, weil sie darüber Spuren ihrer Präsenz verbergen und die Entdeckung bösartiger Aktivitäten erschweren können. Dieses Interesse generiert bösartigen Internetverkehr, der finanzielle und spionagebezogene Motive miteinander verbindet.

Anzeige

Übernahme des Router-Botnets

Ein bekanntes Beispiel ist ein cyberkriminelles Botnet (das mindestens seit 2016 in Betrieb ist), das kompromittierte Ubiquiti EdgeRouter-Geräte verwendete und im Januar 2024 vom FBI in Zusammenarbeit mit anderen internationalen Partnern ausgeschaltet wurde. Im April 2022 gelang es der APT-Gruppe Pawn Storm, Zugang zu den Bots in diesem Botnet zu erlangen, um sie dann für seine eigenen anhaltenden Spionagekampagnen zu nutzen. Trend Micro Telemetriedaten sowie die von Drittanbietern zeigen, dass Hunderte von Ubiquiti EdgeRouter-Routern für verschiedene Zwecke eingesetzt wurden, z. B. für Secure Shell (SSH)-Brute-Forcing, pharmazeutischen Spam, den Einsatz von Server Message Block (SMB) Reflectors für NTLMv2-Hash-Relay-Angriffe, die Weiterleitung gestohlener Anmeldedaten auf Phishing-Seiten, Mehrzweck-Proxys, Kryptowährungs-Mining und den Versand von Spear-Phishing-E-Mails.

FBI-Takedown von Netzwerk mit Ubiquiti-Geräten

„Wir schreiben die NTLMv2-Hash-Relay-Angriffe und das Proxying von Anmeldedaten-Phishing Pawn Storm zu, während der pharmazeutische Spam mit der berüchtigten Canadian Pharmacy Gang in Verbindung zu stehen scheint“, so Feike Haquebord, Senior Threat Researcher bei Trend Micro. „Der Takedown durch das FBI war eine gerichtlich genehmigte Aktion, bei der Code und Einstellungen auf Ubiquiti-Geräten geändert wurden. Obwohl sich diese Änderungen rückgängig machen lassen, unterliegen sie sowohl rechtlichen Einschränkungen als auch technischen Herausforderungen. Wahrscheinlich konnten einige der Bots aufgrund dieser Einschränkungen nicht beseitigt werden. Unseren Recherchen zufolge gelang es dem Bedrohungsakteur außerdem, einige der EdgeRouter-Bots von dem abgeschalteten C&C-Server auf eine neu eingerichtete C&C-Infrastruktur Anfang Februar 2024 zu verschieben.“

Dateilose Ngioweb-Malware infiziert EdgeRouter

Nach weiteren Untersuchungen fanden die Security-Forscher einen dritten wichtigen Bedrohungsakteur, der ebenfalls Malware auf EdgeRouter-Geräten ausführt, und zwar die so genannte Ngioweb-Malware im Speicher ohne bösartige Dateien auf der Festplatte. Eine Windows-Version von Ngioweb, die mit Ramnit in Verbindung steht, wurde erstmals 2018 beschrieben, während die Analyse einer Linux-Version später 2019 und 2020 folgte. Sie nutzt mehrere Schichten der C&C-Infrastruktur, um ein Botnet aus Reverse-Proxys zu bilden. Sie fanden außerdem Hinweise darauf, dass die mit Ngioweb-Malware infizierten EdgeRouter als Exit-Knoten in einem kommerziell erhältlichen Residential-Proxy-Botnet verwendet wurden.

APT-Akteure agieren alle mit eigenen Botnetzen

Pawn Storm setzt ein kriminelles Proxy-Botnet eines Drittanbieters für seine Spionageoperationen ein. Dies hat den offensichtlichen Vorteil, dass sich der Spionageverkehr mit anderem kriminellen Internetverkehr vermischt. Mittlerweile haben andere APT-Akteure ihre eigenen dedizierten Botnets verwendet, wie etwa Sandworm in Verbindung mit Cyclops Blink, das aus gehackten Watchguard- und ASUS-Routern bestand und das das FBI und der britischen National Cyber Security Centre (NCSC) 2022 ausschaltete. Andere APT-Akteure wie APT29 (auch bekannt als Midnight Blizzard) nutzen kommerziell verfügbare Proxynetzwerke und beschaffen sich deren Knotenpunkte oft über zwielichtige Methoden. APT29 nutzt auch regelmäßig die mit anderen Cyberkriminellen geteilte Infrastruktur, um Malware und Exploits zu hosten.

Internet-Router sind nach wie vor ein für Kompromittierungen beliebtes Asset bei Bedrohungsakteuren, da sie häufig ein schwaches Sicherheitsmonitoring haben, weniger strenge Passwortrichtlinien, selten aktualisiert werden und leistungsstarke Betriebssysteme verwenden, die die Installation von Malware wie Kryptowährungs-Miner, Proxys, DDoS-Malware, bösartigen Skripts und Webservern ermöglichen.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen

Cybertrends 2025 – womit man rechnen muss

Was bedeutet 2025 für die Cybersicherheit in Unternehmen? Welche Cyberattacken werden häufiger, welche Branchen stehen besonders im Visier und welche ➡ Weiterlesen

Zero-Trust-Segmentation gegen Ransomware

Ein Anbieter kündigt mit Zero-Trust-Segmentation die erste Lösung für Zero-Trust-Segmentierung an, die eine sichere, agile und kostengünstige Möglichkeit bietet, User, ➡ Weiterlesen